TC260-PG-20234A《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南-網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 告警信息格式》

TC260-PG-20234A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式 (v1.0-202311)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處023年11月本文檔可從以下網(wǎng)址獲得：/I前言《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南》(以下簡(jiǎn)稱《實(shí)踐指南》)是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡(jiǎn)稱“信安標(biāo)委”)秘書處組織制定和發(fā)布的標(biāo)準(zhǔn)相關(guān)技術(shù)文件，旨在圍繞網(wǎng)絡(luò)安全法律法規(guī)政策、標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全熱點(diǎn)和事件等主題，宣傳網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)及知識(shí)，提供標(biāo)準(zhǔn)化實(shí)踐指引。聲明本《實(shí)踐指南》版權(quán)屬于信安標(biāo)委秘書處，未經(jīng)秘書處書面授權(quán)，不得以任何方式抄襲、翻譯《實(shí)踐指南》的任何部分。凡轉(zhuǎn)載或引用本《實(shí)踐指南》的觀點(diǎn)、數(shù)據(jù)，請(qǐng)注明“來(lái)源：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處”。技術(shù)支持單位本《實(shí)踐指南》得到國(guó)家信息中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)科學(xué)院信息工程研究所、沈陽(yáng)東軟系統(tǒng)集成工程有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、安天科技集團(tuán)股份有限公司、亞信科技(成都)有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司等單位的技術(shù)支持。摘要例》《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》等法律法規(guī)、政策文件陸續(xù)出臺(tái)，建立健全統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)、情報(bào)共享、研判處置機(jī)制，形成跨部門、跨行業(yè)高效聯(lián)動(dòng)的網(wǎng)絡(luò)安全防護(hù)體系，已經(jīng)成為現(xiàn)代化網(wǎng)絡(luò)安全保障體系和保障能力建設(shè)的關(guān)注重點(diǎn)。網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通是高效共享網(wǎng)絡(luò)安全信息、有效整合網(wǎng)絡(luò)安全能力的重要基礎(chǔ)。網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通包括網(wǎng)絡(luò)安全產(chǎn)品的互聯(lián)互通功能和互聯(lián)互通信息。其中互聯(lián)互通信息的類型主要分為6類，包括資產(chǎn)信息、脆弱性信息、威脅信息、行為信息、告警信息和事件信息。本實(shí)踐指南規(guī)范了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息的描述格式，從不同網(wǎng)絡(luò)安全產(chǎn)品告警信息有效互通和整合的角度出發(fā)，將網(wǎng)絡(luò)安全產(chǎn)品告警信息類型分為惡意程序告警、網(wǎng)絡(luò)攻擊告警、數(shù)據(jù)安全告警、異常行為告警和其他告警5類，并細(xì)分為21個(gè)子類，規(guī)范了各類告警信息的通用信息和專有信息格式，并給出對(duì)應(yīng)的字段表，包括字段名稱、字段說(shuō)明、字段類型以及是否必填等字段。11范圍 12術(shù)語(yǔ)和定義 13縮略語(yǔ) 14告警分類 24.1概述 24.2惡意程序告警 24.3網(wǎng)絡(luò)攻擊告警 34.4數(shù)據(jù)安全告警 44.5異常行為告警 44.6其他告警 55告警信息格式 55.1概述 55.2字段類型取值 55.3告警通用信息 65.4告警專有信息 7附錄A(資料性)告警信息格式示例 17附錄B(規(guī)范性)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼 20附錄C(規(guī)范性)告警相關(guān)網(wǎng)絡(luò)安全產(chǎn)品類別與代碼 22參考文獻(xiàn) 241范圍本實(shí)踐指南規(guī)定了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通時(shí)告警信息的描述格2術(shù)語(yǔ)和定義互聯(lián)互通cybersecurityproductinterconnect.2告警信息alarminformation3縮略語(yǔ)ersistentThreatCPUCentralProcessingUnit)IP(InternetProtocol)nchronizeSequenceNumbers2atagramProtocolrmResourceLocator4告警分類4.1概述4.2惡意程序告警，發(fā)出警示；b3算，發(fā)出警示。4.3網(wǎng)絡(luò)攻擊告警b施攻擊，發(fā)出警示；4f)拒絕服務(wù)告警：發(fā)現(xiàn)攻擊者通過(guò)非正常使用網(wǎng)絡(luò)資源(諸如警示；4.4數(shù)據(jù)安全告警b4.5異常行為告警5b出警示。4.6其他告警5告警信息格式5.1概述為：告警通用部分(表2)+惡意程序告警基礎(chǔ)信息格式(表3)+計(jì)告警通用部分(表2)+數(shù)據(jù)安全告警擴(kuò)展信息格式(見表21)。5.2字段類型取值6表1告警信息字段類型的取值字段類型說(shuō)明字符型(string)以字符包括字母、數(shù)字、漢字和其他字符形式表達(dá)的數(shù)據(jù)元值的類型。整型(numeric)用任意實(shí)數(shù)表達(dá)的數(shù)據(jù)元值的類型。(datetime)通過(guò)YYYYMMDDhh24mmss的形式表達(dá)的值的類型。5.3告警通用信息表2告警通用信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1告警時(shí)間alarmTime告警發(fā)生時(shí)間型是2告警等級(jí)alarmGrade整型是3告警名稱alarmName告警信息名稱字符型是4告警描述alarmDesc對(duì)告警的詳細(xì)描述、說(shuō)明字符型是5告警類型alarmType1-惡意程序告警，2-網(wǎng)絡(luò)攻擊告警，3-數(shù)據(jù)安全告警，4-異常行為告警，5-其他告警整型是6告警子類alarmSubType告警子類，見附錄B字符型是表2告警通用信息格式(續(xù))序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填7產(chǎn)品類型devType網(wǎng)絡(luò)安全產(chǎn)品類型，見附錄C字符型是8產(chǎn)品地址devIp字符型是9受害對(duì)victimIP格式字符型是受害對(duì)victimPort字符型是7是否加密encryption告警所采集的網(wǎng)絡(luò)安全信息是否加密，1-非加密，2-加密整型否產(chǎn)品型號(hào)devID網(wǎng)絡(luò)安全產(chǎn)品硬件型號(hào)字符型否產(chǎn)品版本devVer網(wǎng)絡(luò)安全產(chǎn)品軟件版本字符型否產(chǎn)品廠商devVenodor網(wǎng)絡(luò)安全產(chǎn)品廠家名稱字符型否告警所屬網(wǎng)絡(luò)alarmArea告警所屬的網(wǎng)絡(luò)區(qū)域，如互聯(lián)網(wǎng)、內(nèi)網(wǎng)等字符型否sourceIP對(duì)受害對(duì)象發(fā)起攻擊或訪問(wèn)的IP地字符型否sourcePort對(duì)受害對(duì)象發(fā)起攻擊或訪問(wèn)的的端口字符型否協(xié)議protocol承載的傳輸層協(xié)議或應(yīng)用層協(xié)議字符型否狀態(tài)state攻擊是否成功的狀態(tài)，1-失敗,2-成功,3-嘗試，4-未知字符型否5.4告警專有信息序告警8表3惡意程序告警基礎(chǔ)信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1惡意程序名稱programName惡意程序的名稱字符型是2文件地址filePath惡意程序文件在計(jì)算機(jī)中的存放位置字符型是3fileMd5字符型是4家族family惡意程序所在家族字符型否5SHA-1值fileSha1字符型否6SHA-25fileSha256字符型否7fileSM3字符型否8黑客組織organization惡意程序相關(guān)黑客或組織字符型否表4計(jì)算機(jī)病毒告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1進(jìn)程名process計(jì)算機(jī)病毒執(zhí)行進(jìn)程名稱字符型是2文件地址filePath病毒文件在計(jì)算機(jī)中的存放位置字符型是表5網(wǎng)絡(luò)蠕蟲告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1進(jìn)程名process蠕蟲執(zhí)行進(jìn)程名稱字符型是2文件地址filePath蠕蟲文件在計(jì)算機(jī)中的存放位置字符型是表6特洛伊木馬告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1進(jìn)程名process木馬執(zhí)行進(jìn)程名稱字符型是2文件地址filePath木馬文件在計(jì)算機(jī)中的存放位置字符型是3名backConnDomain木馬回聯(lián)的域名字符型否4箱backConnEmail木馬回聯(lián)的郵箱字符型否5backConnIp字符型否9表7僵尸網(wǎng)絡(luò)告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1地址controlIP僵尸網(wǎng)絡(luò)的相關(guān)IP，支持ipv4、ipv6格式字符型是2失陷域名controlDomain用于指揮和控制的的域名字符型否表8惡意代碼內(nèi)嵌網(wǎng)頁(yè)告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1域名信息whois域名信息字符型是2掛馬源URLorgURL實(shí)際掛馬的網(wǎng)頁(yè)鏈接字符型是3掛馬源orgIp實(shí)際掛馬網(wǎng)站的對(duì)應(yīng)IP地址，支持pv字符型否4掛馬源所屬國(guó)家orgCountry實(shí)際掛馬網(wǎng)站的所屬國(guó)家字符型否5掛馬源所屬省orgProvince實(shí)際掛馬網(wǎng)站的所屬省字符型否6掛馬源所屬市orgCity實(shí)際掛馬網(wǎng)站的所屬市字符型否7掛馬源所屬縣orgCounty實(shí)際掛馬網(wǎng)站的所屬縣字符型否表9勒索軟件告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1進(jìn)程名process勒索軟件執(zhí)行進(jìn)程名稱字符型是2文件地址filePath勒索軟件在計(jì)算機(jī)中的存放位置字符型是3加密算法algorithm勒索軟件使用的加密算法字符型否表10挖礦軟件告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1進(jìn)程名process挖礦軟件執(zhí)行進(jìn)程名稱字符型是2文件地址filePath挖礦軟件在計(jì)算機(jī)中的存放位置字符型是3礦池地址miningPoo字符型否4子域名subdomainList子域名列表字符型否擊告警表11網(wǎng)絡(luò)攻擊告警基礎(chǔ)信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1處置動(dòng)作action1-阻斷2-放行3-重定向整型是2攻擊方向direction1-橫向攻擊2-外聯(lián)攻擊3-外部攻擊整型否表12網(wǎng)絡(luò)掃描探測(cè)告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1被掃描端口列表portList被掃描端口列表字符型是2掃描探測(cè)類型type惡意攻擊者對(duì)目標(biāo)發(fā)起掃描探測(cè)的掃描類型字符型否3嘗試頻率timesPerm每分鐘嘗試次數(shù)整型否4開始時(shí)間startTime掃描開始時(shí)間否5結(jié)束時(shí)間endTime掃描結(jié)束時(shí)間否6返回信息returnlnfo掃描返回信息字符型否表13網(wǎng)絡(luò)釣魚告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1釣魚類型type釣魚類型如郵件釣魚、網(wǎng)站釣魚等字符型是2域名registrar釣魚網(wǎng)站域名字符型否3registerEma釣魚郵件郵箱字符型否表14漏洞利用告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1漏洞名稱vulName漏洞名稱字符型是2系統(tǒng)研制廠商vulOrg存有漏洞的系統(tǒng)研制商字符型是3漏洞等級(jí)vulGrade危字符型是4漏洞類型type攻擊時(shí)利用的漏洞類型字符型否5漏洞編號(hào)vulCode漏洞編號(hào)，支持CNVD、CNNVD等，格式如CNVD-2014-0282、CNNVD-201404-530字符型否6漏洞描述vulDescription漏洞的描述字符型否7解決方案solution漏洞解決方案字符型否8漏洞發(fā)現(xiàn)者vulDetector漏洞發(fā)現(xiàn)的廠商或個(gè)人字符型否9參考鏈接referURL漏洞說(shuō)明參考鏈接字符型否表15后門利用告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1惡意程序名稱programName后門程序的名稱字符型是2文件地址filePath后門程序文件在計(jì)算機(jī)中的存放位置字符型是3fileMd5字符型是4SHA-1值fileSha1字符型否5黑客組織organizat后門程序相關(guān)黑客或組織字符型否6后門程序使用賬號(hào)userName后門程序使用的賬號(hào)字符型否表16憑據(jù)攻擊告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1開始時(shí)間startTime攻擊開始時(shí)間是2結(jié)束時(shí)間endTime攻擊結(jié)束時(shí)間是3credent使用的憑據(jù)字符型否4嘗試頻率timesPermin每分鐘嘗試次數(shù)整型否表17拒絕服務(wù)攻擊告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1攻擊類型type字符型是2開始時(shí)間startTime攻擊發(fā)生時(shí)間型是3結(jié)束時(shí)間endTime攻擊結(jié)束時(shí)間型否4總包數(shù)totalPackages流量包總數(shù)，單位：個(gè)整型否5總字節(jié)數(shù)totalBytes總字節(jié)數(shù)，單位：byte整型否表17拒絕服務(wù)攻擊告警擴(kuò)展信息格式(續(xù))序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填6峰值包速率peakPackagesRate峰值包速率，單位：pps整型否7峰值字節(jié)速率peakBytesRate峰值字節(jié)速率，單位：Bps整型否8峰值流速率peakFIowsRate峰值流速率，單位：Mbps整型否表18網(wǎng)頁(yè)篡改告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1原網(wǎng)頁(yè)路徑srcPath型是2篡改路徑disPath篡改后的網(wǎng)頁(yè)URL型是3改類型webDistortionType類別如暗鏈、明鏈、其他等型否4關(guān)鍵字keyword篡改內(nèi)容的關(guān)鍵字型否表19失陷主機(jī)告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1失陷主compromised_hostid失陷主機(jī)標(biāo)識(shí)，如：UUID字符型是2失陷類型compromised_type1-計(jì)算機(jī)病毒；2-網(wǎng)絡(luò)蠕蟲；3-特洛伊木馬；4-僵尸網(wǎng)絡(luò)；5-惡意代碼；6-漏洞利用；7-后門利用；8-遠(yuǎn)程控制；9-憑據(jù)攻擊；10-本地提權(quán)整數(shù)型是3外聯(lián)惡意域名extMalwareURL失陷主機(jī)的外聯(lián)URL字符型否4extMalwareIP失陷主機(jī)的外聯(lián)IP字符型否5攻擊時(shí)間attck_time失陷判定依據(jù)的攻擊行為的告警時(shí)間，格式采用YYYY-MM-DDhh:1mm:ss，精確到秒型否表20APT告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1開始時(shí)間startTime首次發(fā)現(xiàn)攻擊的時(shí)間型是2結(jié)束時(shí)間endTime攻擊結(jié)束時(shí)間型是3警描述APTMsgAPT攻擊過(guò)程描述字符型是4織名稱OrgNameAPT組織名稱字符型否5織描述OrgMsgAPT組織描述字符型否全告警表21數(shù)據(jù)篡改告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1篡改類型type篡改類型(新建、內(nèi)容修改、刪除、權(quán)限變更等)字符型是2篡改路徑disPath文檔路徑或者URL字符型是3篡改時(shí)間time數(shù)據(jù)篡改時(shí)間是4關(guān)鍵詞keyword篡改關(guān)鍵字字符型否5篡改內(nèi)容distortionTitle篡改內(nèi)容說(shuō)明字符型否表22數(shù)據(jù)泄露告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1類型type泄露類型字符型是2篡改路徑disPath文檔路徑或者URL字符型是3time發(fā)現(xiàn)首次數(shù)據(jù)泄露的時(shí)間是表22數(shù)據(jù)泄露告警擴(kuò)展信息格式(續(xù))序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填4告警描述Descriptin字節(jié)字符型是5詞keyword命中關(guān)鍵詞，多個(gè)關(guān)鍵詞用逗號(hào)分隔字符型是6數(shù)據(jù)leakIp數(shù)據(jù)單獨(dú)加密，支持ipv4、ipv6格式字符型是7數(shù)據(jù)port數(shù)據(jù)單獨(dú)加密，通用部分不再存儲(chǔ)字符型是為告警表23訪問(wèn)異常告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1訪問(wèn)路徑dstPath訪問(wèn)路徑或者URL字符型是2請(qǐng)求方法method請(qǐng)求方法，包括post等字符型否3異常信息abnormal_異常信息描述字符型否表24流量異常告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1cycleTime異常流量監(jiān)測(cè)時(shí)間周期，單位：秒整型是2總包數(shù)totalPackages流量包總數(shù)，單位：個(gè)整型是3總字節(jié)數(shù)totalBytes總字節(jié)數(shù)，單位：byte整型是4峰值包速率peakPackagesRate峰值包速率，單位：pps整型否5峰值字節(jié)速率peakBytesRate峰值字節(jié)速率，單位：Bps整型否表25其他告警擴(kuò)展信息格式序號(hào)信息項(xiàng)字段名稱字段說(shuō)明字段類型是否必填1其他告警other-info其他告警信息字符型否(資料性)告警信息格式示例本附錄給出了一個(gè)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式描述的{"devType":"D105"PXPcccefbcaeeb8"bdbeffcfaeadfaafecb4b828""process":"123.exe"}0(規(guī)范性)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼是對(duì)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息類別(以下簡(jiǎn)稱“告警類別”)告警)，用兩位阿拉伯?dāng)?shù)字(01~99)表示；算機(jī)病毒告警)，用三位阿拉伯?dāng)?shù)字(001~999)表示。圖B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類編碼結(jié)構(gòu)1表B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼表告警信息分類告警信息子類英文名稱分類代碼惡意程序告警計(jì)算機(jī)病毒告警computervirusalarm01001網(wǎng)絡(luò)蠕蟲告警cyberwormalarm01002特洛伊木馬告警trojanhorsealarm01003僵尸網(wǎng)絡(luò)告警botnetalarm01004惡意代碼內(nèi)嵌網(wǎng)頁(yè)告警maliciouscodeembeddedwebpagealarm01005勒索軟件告警ransomwarealarm01006挖礦軟件告警minervirusalarm01007網(wǎng)絡(luò)攻擊告警網(wǎng)絡(luò)掃描探測(cè)告警cyberscandetectionalarm02001網(wǎng)絡(luò)釣魚告警cyberphishingalarm02002漏洞利用告警exploitationvulnerabilityalarmf02003后門利用告警exploitati